スタッフと個人のラップトップについてはどうしますか?
今日、私たちの開発者の1人が自宅からノートパソコンを盗まれました。どうやら、彼は会社のソースコードの完全なsvnチェックアウトとSQLデータベースの完全なコピーを持っていました。
これが、個人のラップトップで会社の仕事を許可することに個人的に反対する大きな理由の1つです。
ただし、これが会社所有のラップトップであったとしても、ディスク全体に暗号化(WDE)を適用する立場がやや強いものの、同じ問題が発生します。
質問は次のとおりです。
- 会社所有ではないハードウェアの会社データについて、会社は何をしていますか?
- WDEは賢明なソリューションですか?読み取り/書き込みで多くのオーバーヘッドが発生しますか?
- そこから保存/アクセスされたもののパスワードを変更する以外に、他に提案できることはありますか?
問題は、人々が自分のキットで無給の残業をすることを許可することは非常に安価であるため、マネージャーはそれを止めようとはしません。もちろん、リークが発生した場合はITのせいにして喜んで対応します...これを防ぐのは、強力に実施されたポリシーだけです。彼らがバランスを取りたいのは経営者次第ですが、それは非常に人の問題です。
私は管理者レベルのワークロードを備えたラップトップでWDE(Truecrypt)をテストしましたが、パフォーマンス面でそれほど悪くはなく、I/Oヒットは無視できます。私も何人かの開発者が20GB以下の作業用コピーを保持しています。それ自体は「解決策」ではありません。 (たとえば、起動中にデータがセキュリティで保護されていないマシンから振り落とされるのを防ぐことはできません)が、確かに多くのドアが閉まります。
外部で保持されているすべてのデータの全面禁止についてはどうですか。続いて、リモートデスクトップサービス、まともなVPN、およびそれをサポートする帯域幅への投資があります。これにより、すべてのコードがオフィス内に留まります。ユーザーはリソースへのローカルネットワークアクセスでセッションを取得します。そして、家庭用機械は単にダム端末になります。これはすべての環境に適しているわけではありませんが(断続的なアクセスまたは高い待機時間があなたのケースでは取り引きになるかもしれません)、在宅勤務が会社にとって重要であるかどうか検討する価値があります。
当社では、会社所有のすべてのラップトップでディスク全体の暗号化を要求しています。確かにオーバーヘッドがありますが、ほとんどのユーザーにとってこれは問題ではありません。Webブラウザーとオフィススイートを実行しています。私のMacBookは暗号化されており、VirtualBoxの下でVMを実行している場合でも、気が付いたほどの影響はあまり受けていません。 1日の大半を費やしてコードの大きなツリーをコンパイルしている人にとっては、それはさらに問題になるかもしれません。
この種のポリシーフレームワークが明らかに必要です。all会社所有のラップトップが暗号化されていることを要求する必要があり、会社データを会社所有以外の機器に保存できないようにする必要があります。あなたのポリシーは、たとえ彼らが不平を言ったとしても、技術スタッフやエグゼクティブスタッフにも適用される必要があります。
装置自体に重点を置くのではなく、関連するデータに重点を置きます。これにより、現在発生している問題を回避できます。個人所有の機器に関するポリシーを強制するレバレッジがない場合があります。ただし、企業が所有するデータの処理方法を強制するためのレバレッジが必要です。大学なので、こういう問題はいつも出てきます。学部は、学部がコンピュータを購入できるように資金を提供されていないか、または助成金でデータ処理サーバーを購入することができます。一般に、これらの問題の解決策は、ハードウェアではなくデータを保護することです。
組織にはデータ分類ポリシーがありますか?もしそうなら、それは何と言っていますか?コードリポジトリはどのように分類されますか?そのカテゴリにはどのような要件が課されますか?これらに対する答えが「いいえ」または「わからない」のいずれかである場合は、情報セキュリティオフィス、または組織内のポリシー作成責任者に相談することをお勧めします。
あなたがリリースされたと言うことに基づいて、私がデータ所有者であるなら、私はそれを高、またはコードレッド、またはあなたの最高レベルが何であれ分類するでしょう。通常は、保管中や転送中の暗号化が必要であり、データの格納を許可する場所にいくつかの制限が含まれることもあります。
それ以上に、安全なプログラミング手法の実装を検討しているかもしれません。奇妙でまれな状況を除いて、開発ライフサイクルを体系化し、開発者が本番データベースにアクセスすることを明示的に禁止するもの。
1.)リモートでの作業
開発者にとって、3Dが必要でない限り、リモートデスクトップは非常に優れたソリューションです。通常、パフォーマンスは十分です。
私の目には、リモートデスクトップはVPNよりも安全です。VPNがアクティブな状態でロック解除されたノートブックでは、ターミナルサーバーのビューよりもかなり多くのことができるからです。
VPNは、追加のVPNが必要であることを証明できる人にのみ与えるべきです。
機密データを社外に移動することは禁止されており、可能であれば防止する必要があります。ソース管理、問題追跡、ドキュメンテーションシステム、およびコミュニケーションへのアクセスが不足しているため効率が良くないため、インターネットにアクセスできない開発者としての作業は禁止されています。
2.)ネットワークでの社外ハードウェアの使用
企業は、LANに接続されたハードウェアに必要なものの標準を持つ必要があります。
- アンチウイルス
- ファイアウォール
- ドメインに属し、発明家になる
- モバイルの場合、暗号化される
- ユーザーにローカル管理者がいない(開発者の場合は難しいが、実行可能)
- 等.
外国のハードウェアは、これらのガイドラインに従うか、ネット上にない必要があります。 NACを設定してそれを制御できます。
3.)こぼれた牛乳についてはほとんど何もできませんが、再発を防ぐための措置を講じることができます。
上記の手順を実行し、ノートブックがモバイルシンクライアントに過ぎない場合、それ以上は必要ありません。安いノートブックを購入することもできます(または古いノートブックを使用します)。
会社所有ではないハードウェアの会社データについて、会社は何をしていますか?
IT部門によって暗号化されていない限り、会社のデータのみを会社のデバイスに保存する必要があります。
WDEは賢明なソリューションですか?読み取り/書き込みで多くのオーバーヘッドが発生しますか?
ディスク暗号化ソフトウェアには多少のオーバーヘッドがありますが、それだけの価値があり、すべてのラップトップと外部USBドライブを暗号化する必要があります。
そこから保存/アクセスされたもののパスワードを変更する以外に、他に提案できることはありますか?
また、ブラックベリーのBES環境と同じように、リモートワイプソフトウェアを入手することもできます。
会社の管理下にないコンピューターは、ネットワーク上で許可されるべきではありません。ずっと。 VMPSのようなものを使用して、検疫されたVLANに不正な機器を配置することをお勧めします。同様に、企業データには、社外の機器以外のビジネスはありません。
最近のハードディスクの暗号化は非常に簡単なので、敷地外に出るものはすべて暗号化します。ラップトップを例外的に不注意に処理すると、完全なディスク暗号化がなければ災害になることもありました。パフォーマンスへの影響はそれほど悪くはなく、メリットはそれをはるかに上回ります。非常に高いパフォーマンスが必要な場合は、VPN/RASを適切なハードウェアに接続します。
ここで他のいくつかの答えから別の方向に進むには:
データの保護と保護は重要ですが、ラップトップを盗んだ人が次のような確率を持っています。
- 彼らが盗んでいたものを知っていた
- データとソースコードを探す場所を知っていた
- データとソースコードをどうするかを知っていた
かなりありそうもないです。最も可能性の高いシナリオは、ラップトップを盗んだ人が通常の古い泥棒であり、競合製品を構築して会社の前に市場に出すために会社のソースコードを盗もうとする企業スパイではないということです。ビジネスの。
そうは言っても、将来的にこれを防ぐためにいくつかのポリシーとメカニズムを導入することはおそらくあなたの会社に義務付けられるでしょうが、私はこの事件があなたを夜通し続けることを許しません。あなたはラップトップ上のデータを失いましたが、おそらくそれは単なるコピーであり、開発は中断することなく続行されます。
企業所有のラップトップは、もちろん暗号化されたディスクなどを使用する必要がありますが、パソコンについて質問します。
私はこれを技術的な問題ではなく、行動上の問題と考えています。技術的な観点から、誰かがコードを持ち帰ってハッキングするのを不可能にするためにできることはほとんどありません-彼らがまだ取ることができるプロジェクトのすべてのソースを正式にチェックアウトできないようにしても、それらがそうすることが決定され、コードの10行の「スニペット」(または任意のデータ)が偶然あなたの秘密のソースを含むビット/貴重で機密の顧客情報/聖杯の場所である場合、スニペットホームまだ10ページを失うことと同じように、これらの10行を失うことによって骨が折れる可能性があります。
では、ビジネスは何をしたいのでしょうか?人々は企業外のコンピューターから企業のビジネスに絶対に従事してはならず、そのルールを破った人々の「重大な不正行為」解雇罪にしてはならない、と言うことは完全に可能です。それは強盗の被害者である誰かへの適切な対応ですか?それはあなたの企業文化の粒度に反するでしょうか?人々が自宅で自分の時間に仕事をしていて、資産喪失のリスクと知覚される生産性の向上とのバランスをとる準備ができているとき、会社はそれを気に入っていますか?失われたコードは、核兵器、銀行の金庫、病院の救命設備の制御に使用されているため、セキュリティ違反はいかなる状況でも対応できませんか?この損失により「危険にさらされている」コードのセキュリティに関して、法的または規制上の義務がありますか?
これらはあなたが検討する必要があると思う質問の一部ですが、ここでは誰もあなたのために実際にそれらに答えることはできません。
ソースコードが関係している状況、特に使用されているマシンが会社のIT部門によって制御できない状況では、私はその人が会社の敷地内のマシンでホストされているリモートセッションで開発することのみを許可します。 VPN。
リモートワイピングソフトウェアはどうですか。もちろん、これは、泥棒がコンピュータをインターネットに接続するのに十分な能力がない場合にのみ機能します。しかし、盗まれたラップトップをこの方法で発見した人の話はたくさんあるので、あなたは幸運かもしれません。
X時間以内にパスワードを入力しなかった場合、すべてのデータが削除され、もう一度チェックアウトする必要がある場合は、時間指定ワイプもオプションになることがあります。これについては以前に聞いたことはありません。おそらく暗号化よりもユーザーによる作業が必要になるため、実際にはかなり愚かだからです。パフォーマンスが心配な場合は、暗号化と組み合わせるとよいでしょう。もちろん、ここにも電源投入の問題がありますが、ここではインターネットは必要ありません。
あなたの最大の問題であるとの私の考えは、これはラップトップが会社のネットワークにアクセスしたことを意味するように思われるということです。このラップトップがオフィスのネットワークにVPN接続するのを防いでいると思います。
会社以外のコンピュータをオフィスネットワークに許可することは、非常に悪い考えです。会社のラップトップではない場合、どのようにして適切なウイルス対策を適用できますか?ネットワーク上で許可することは、その上で実行されているプログラムを制御できないことを意味します。ワイヤーシャークはネットワークパケットなどを見ています...
他の回答のいくつかは、時間外の開発はRDPセッションなどの中で行われるべきであることを示唆しています。実際、これはつまり、インターネットに接続している場所でしか作業できないことを意味します。電車などでは常に可能とは限りません。ただし、ラップトップがRDPセッションのサーバーにアクセスできる必要もあります。盗まれたラップトップ(およびおそらくラップトップに保存されているパスワードの一部)にアクセスできる誰かに対してRDPアクセスを保護する方法を検討する必要があります。
最後に、最も可能性の高い結果は、ラップトップがコンテンツに関心がなく、電子メールやWebに使用するだけの誰かに販売されることです。しかし、それは会社が取る大きなリスクです。